Loki - 简单IOC和YARA扫描器使用教程

最新推荐文章于 2025-04-19 10:40:03 发布
最新推荐文章于 2025-04-19 10:40:03 发布
阅读量389 收藏 9
点赞数 3
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gitblog_01116/article/details/142247621

Loki - 简单IOC和YARA扫描器使用教程

Loki Loki - Simple IOC and YARA Scanner Loki 项目地址: https://gitcode.com/gh_mirrors/lo/Loki

1. 项目介绍

Loki 是一个简单的IOC(Indicators of Compromise)和YARA扫描器,用于检测系统中的潜在威胁。它基于四种检测方法:文件名IOC、YARA规则检查、哈希检查和C2后连接检查。Loki还支持额外的检查,如Regin文件系统检查、进程异常检查、SWF解压缩扫描和SAM转储检查。该项目由Neo23x0维护,虽然目前处于非活跃维护状态,但仍是一个有用的工具。

2. 项目快速启动

2.1 下载Loki

首先,从GitHub仓库下载最新版本的Loki:

git clone https://github.com/Neo23x0/Loki.git
cd Loki

2.2 更新签名

在有网络连接的系统上运行loki-upgrader.exe以获取最新的签名:

loki-upgrader.exe

2.3 运行扫描

将程序文件夹复制到目标系统,以管理员身份打开命令行并运行Loki:

loki.exe -p C:\path\to\scan

2.4 查看报告

扫描完成后,Loki会生成一个报告,显示GREEN、YELLOW或RED的结果行。用户可以根据报告中的信息进行进一步分析。

3. 应用案例和最佳实践

3.1 企业内部安全扫描

Loki可以用于企业内部的安全扫描,定期检查系统中的潜在威胁。通过配置自动化的扫描任务,可以及时发现并处理安全问题。

3.2 事件响应

在安全事件响应中,Loki可以快速扫描受影响的系统,帮助确定攻击的范围和影响。通过分析扫描结果,可以制定更有效的响应策略。

3.3 安全研究

安全研究人员可以使用Loki来验证他们的IOC和YARA规则,确保其有效性。此外,Loki还可以用于分析恶意软件样本,帮助研究人员更好地理解威胁。

4. 典型生态项目

4.1 THOR

THOR是Loki的升级版,提供了更高级的功能和更好的性能。THOR Lite是THOR的免费版本,适合需要更强大扫描工具的用户。

4.2 YARA

YARA是一个用于恶意软件识别和分类的工具,Loki使用YARA规则进行文件和内存扫描。YARA社区提供了大量的规则库,可以与Loki结合使用。

4.3 Sysforensics

Sysforensics是一个系统取证工具,Loki使用其进程异常检查功能。Sysforensics提供了详细的系统分析功能,可以与Loki的扫描结果结合使用。

通过以上模块的介绍,用户可以快速了解Loki的基本功能和使用方法,并结合实际应用场景进行部署和使用。

Loki Loki - Simple IOC and YARA Scanner Loki 项目地址: https://gitcode.com/gh_mirrors/lo/Loki

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

检测工具介绍:LokiIOCs检测Pesieve的内存注入检测
摔不死的笨鸟的博客
01-07 770
LOKI控制行命令 命令选项 功能参数 -h 显示此帮助消息并退出 -p 要扫描的路径 -s (千字节为单位) 以KB为单位的最大文件大小(默认为5000 KB) -l 日志文件 -r 远程syslog系统 -t 远程系统日志端口 -a 警报级别的警报分数 -w 警告级别的警报分数 -n 通知级别的通知分数 –printall 打印所有扫描的文件 –allreasons 打印导致得分的所有原因 –noprocscan 跳过进程扫描 –nofi
恶意软件分析大合集
最新发布
Sumarua的博客
05-09 777
这个列表记录着那些令人称赞的恶意软件分析工具资源。受到 awesome-python awesome-php 的启迪。
yara 源码学习(三)  扫描部分
lacoucou的专栏
06-13 1144
yara源码学习 yara程序的扫描过程
Loki 使用教程
gitblog_00007的博客
04-19 340
Loki 使用教程 Loki 一个轻量级Web蜜罐 - A Little Web Honeypot.???????????????????????? 项目地址: https://gitcode.com/gh_mirrors/loki31/Loki ...
loki使用超详细说明
热门推荐
李文良的博客
10-08 6万+
前言:小伙伴们是用什么看日志的呢?我是用的loki,今天我跟大家分享下loki使用,喜欢的话一键三连点收藏哦! loki使用超详细说明一、loki简介二、Loki 使用三、Loki语法说明四、Loki错误信息查看五、范围查询六、集合运算七、Loki Url 表达式编写八、Loki api使用 一、loki简介 Loki是 Grafana Labs 团队最新的开源项目,是一个水平可扩展,高可用性,多租户的日志聚合系统。它的设计非常经济高效且易于操作,因为它不会为日志内容编制索引,而是为每个日志流编制一组标签
日志之Loki详细讲解
上善若泪
01-30 3923
下、创建的端口号是3100,就需要填写为http://loki:3100,这里为什么不写IP地址而写成服务的名字,是因为在k8s集群里面有个dns服务器会自动解析这个地址。另外也可以用上面提到的其他日志收集工具来收取,这篇文章在结尾处会附上其他工具的配置方式。改为1,是因为这个设置不正确造成的。收集起来的日志信息对于业务来说是至关重要的,因此需要在容器重启的时候日志能够保留下来。如果是裸机部署的情况下,需要对上面的配置文件做一下稍微的改动,更改。从上面的图中我们可以看到,它在解析日志的时候是以。
Loki 开源项目安装与使用教程
gitblog_00914的博客
09-26 643
Loki 开源项目安装与使用教程 Loki Remote Access Tool 项目地址: https://gitcode.com/gh_mirrors/loki1/Loki ...
Loki安装使用方式
jialiu111111的博客
05-29 1067
我选择 Installing Loki with Docker or Docker Compose。登录密码admin/admin。
SkeletonKeyScanner:SkeletonKey 恶意软件扫描仪
06-30
两个专门的扫描仪已合并为一个新的通用 IOC 扫描仪,称为 。 LOKI 通过不同的配置文件提供完全免费的 IOC 签名定义。 它包括 Regin、Skeleton Key 最近发布的签名,这些在 2015 年 1 月 17 日发布的提到。 ...
Regin虚拟文件系统扫描器:综合检测后门技术
LOKI扫描器代表了从专用扫描仪向更通用、灵活的IOC扫描仪的转变,这表明安全社区正通过共享资源协作来应对日益复杂的网络威胁。Python语言的使用进一步说明了在IT安全领域,开发高效、跨平台的解决方案的便利性。...
恶意软件分析资料大合集
我在全球村
05-31 2854
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档 Shellcode 文件提取 去混...
LokiLoki-简单IOC事件响应扫描程序
02-05
Loki-简单IOC扫描仪 扫描仪,用于简单的危害指标 检测基于四种检测方法: 文件名IOC 正则表达式匹配完整的文件路径/名称 亚拉规则检查文件数据过程存储器上的Yara签名匹配 哈希检查将已知的恶意哈希(MD5,SHA1,SHA256)与扫描的文件进行比较 C2背面连接检查将进程连接端点与C2 IOC比较(自v.10版以来新增) 其他检查: Regin文件系统检查(通过--reginfs) 流程异常检查(基于 ) SWF解压缩扫描(自v0.8版以来新增) SAM转储检查 DoublePulsar检查-尝试检测端口445 / tcp3389 / tcp上的DoublePul
Grafana Loki 安装与配置完全指南
gitblog_09241的博客
09-13 1161
Grafana Loki 安装与配置完全指南 loki Loki是一个开源、高扩展性多租户的日志聚合系统,由Grafana Labs开发。它主要用于收集、存储查询大量日志数据,并通过标签索引提供高效检索能力。Loki特别适用于监控场景,与Grafana可视化平台深度集成,帮助用户快速分析发现问题。 ...
轻量级日志系统Loki——安装配置
Python专栏
06-20 1379
Loki对标EFK/ELK,由于其轻量的设计,备受欢迎,Loki相比EFK/ELK,它不对原始日志进行索引,只对日志的标签进行索引,而日志通过压缩进行存储,通常是文件系统存储,所以其操作成本更低,数量级效率更高。由于Loki的存储都是基于文件系统的,所以它的日志搜索时基于内容即日志行中的文本,所以它的查询支持LogQL,在搜索窗口中通过过滤标签的方式进行搜索查询。promtail,类似于tail,它只监听新增日志,不会像filebeat一样,读取日志所有内容,这是filebeat的一个区别。
loki日志收集全网最全教程
IT运维技术圈
05-17 3065
全网最全loki全流程描述,网上有很多教程都是不对的哈!这个是生产环境校验过的哈! 相关匹配及字段转换规则我已经给大家写好了。 部署架构: loki_service: 使用docker_compose部署loki.yml k8s_master_deploy:去k8s的master节点部署。 部署流程: 在k8s master节点 一、执行下面命令: kubectl apply -f promtail_configmap.yaml promtail_configmap.yaml 是promtail的配置文
Grafana进阶教程使用Loki、Tempo进行日志与追踪可视化-use
justlpf的专栏
02-12 424
Loki 是一款为Prometheus设计的日志聚合系统。与传统的日志管理工具(如)不同,Loki 不会对日志内容进行索引,而是以分片流的形式存储日志,并通过标签来进行查询。这种设计使 Loki 成为一种高效、可扩展且成本较低的日志解决方案。Loki 的主要特点包括:轻量级:Loki 仅索引元数据而不是完整的日志内容。与 Prometheus 紧密集成:可以通过相同的标签进行日志指标的关联查询。易于部署:支持 Docker、Kubernetes 等多种部署方式。
轻量级日志系统——Loki
wzpny的博客
06-21 8773
Loki是团队最新的开源项目,是一个水平可扩展,高可用性,多租户的日志聚合系统。它的设计非常经济高效且易于操作,因为它不会为日志内容编制索引,而是为每个日志流编制一组标签。项目受 Prometheus启发,官方的介绍就是:,类似于Prometheus的日志系统。
推荐使用 Spyre:简单高效的IOC扫描器
gitblog_00054的博客
06-09 401
推荐使用 Spyre:简单高效的IOC扫描器 spyresimple YARA-based IOC scanner项目地址:https://gitcode.com/gh_mirrors/spy/spyre Spyre 是一个基于YARA模式匹配引擎的轻量级、模块化的主机IOC(Indicator of Compromise)扫描工具。它的设计目标是让用户能够轻松操作YARA规则其他潜在威胁指标...
Loki安装与使用
辉的博客
12-25 2076
promtail是代理,负责收集日志并将其发送给 Lokiloki是主服务器,负责存储日志处理查询。Grafana用于查询显示日志。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

潘聪争

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值